Microsoft Outlook affiche les coordonnées d’une personne réelle pour les e-mails de phishing IDN

Microsoft Outlook affiche les coordonnées d’une personne réelle pour les e-mails de phishing IDN

7 septembre 2021 0 Par Le Caiman

Si vous recevez un e-mail de someone@arstechnіca.com, est-ce vraiment de quelqu’un à Ars ? Certainement pas – le domaine de cette adresse e-mail ne correspond pas arstechnica.com que vous connaissez. Le caractère ‘і’ vient de l’écriture cyrillique et non de l’alphabet latin.

Ce problème n’est pas nouveau non plus. Jusqu’à il y a quelques années (mais pas plus), les navigateurs modernes ne faisaient aucune distinction visible lors de la saisie de domaines contenant des jeux de caractères mixtes dans la barre d’adresse.

Et Microsoft Outlook ne fait pas exception, mais le problème s’est aggravé : les e-mails provenant d’un domaine similaire dans Outlook afficheraient la carte de contact d’une personne réelle, qui est en fait enregistrée avec le domaine légitime, et non l’adresse similaire.

Outlook affiche les informations de contact réelles pour les domaines IDN usurpés

Cette semaine, infosec professionnel et pentester DobbyWanKenobi ils ont démontré comment ils ont pu tester la partie Carnet d’adresses de Microsoft Office pour afficher les informations de contact d’une personne réelle pour une adresse e-mail d’expéditeur falsifiée à l’aide d’IDN. Noms de domaine internationalisés (IDN) ce sont des domaines composés d’un jeu de caractères Unicode mixte, tels que des lettres des alphabets latin et cyrillique qui peuvent sembler identiques à un domaine ASCII normal.

Le concept d’IDN a été proposé en 1996 pour étendre l’espace des noms de domaine aux langues non latines et pour faire face à l’ambiguïté susmentionnée de divers caractères similaires (« homoglyphes ») pour les humains. Les IDN sont facilement reproduits au format ASCII uniquementla version « punycode » du domaine, qui ne laisse aucun espace ambigu entre deux domaines d’apparition.

Par exemple, en collant une copie du sosie « arstechnіca.com » dans la barre d’adresse du dernier navigateur Chrome, il serait immédiatement affiché comme une pénalité pour éviter toute ambiguïté : xn--arstechnca-42i.com. Cela n’arrive pas quand c’est réel arstechnica.comdéjà en ASCII et sans le cyrillique ‘і’, tapé dans la barre d’adresse. Une telle discrimination visible est nécessaire pour protéger les utilisateurs finaux qui pourraient accidentellement atterrir sur des sites Web imposteurs utilisés dans le cadre de campagnes de phishing.

Mais récemment, DobbyWanKenobi il a trouvé que ce n’était pas clair avec Microsoft Outlook pour Windows. Et la fonction Carnet d’adresses ne ferait pas de discrimination lors de l’affichage des coordonnées d’une personne.

« J’ai récemment découvert une vulnérabilité affectant le composant Carnet d’adresses Microsoft Office pour Windows qui pourrait permettre à n’importe qui sur Internet d’utiliser les coordonnées des employés au sein d’une organisation utilisant un nom de domaine internationalisé (IDN) qui a une apparence externe », a écrit le pentester dans article de blog. « Cela signifie que si le domaine d’une entreprise est une entreprise[.]com ‘, un attaquant qui enregistre l’IDN en tant que ‘ ѕomecompany[.]com ‘(xn – omecompany-l2i[.]com) pourrait tirer parti de ce bogue et envoyer des e-mails de phishing résolus aux employés de « somecompany.com » qui utilisaient Microsoft Outlook pour Windows. « 

Coïncidence, le lendemain, une autre rapport Mike Manzotti, consultant senior chez Dionach sur le sujet, a émergé. Pour un contact créé sur le domaine Manzotti « onmìcrosoft.com » (notez le je), Outlook affichait les coordonnées valides de la personne dont l’adresse e-mail était le domaine réel « onmicrosoft.com ».

« C’est-à-dire que l’e-mail de phishing cible l’utilisateur NestorW @ …. onmjeCependant, crosoft.com affiche des données Active Directory valides et une image NestorW @ …. onmicrosoft.com comme si l’e-mail provenait d’une source fiable », explique Manzotti.

Manzotti a recherché la cause du problème sur Outlook pour ne pas valider correctement les adresses e-mail dans les en-têtes de l’extension de messagerie Internet (MIME).

« Lorsque vous envoyez un e-mail HTML, vous pouvez spécifier une ‘adresse’ à partir de SMTP et spécifier le ‘Mime’ à partir de ‘adresse' », explique Manzotti.

« C’est parce que les en-têtes MIME sont inclus dans le protocole SMTP. MIME est utilisé pour étendre des messages texte simples, par exemple lors de l’envoi d’e-mails HTML », a-t-il expliqué avec un schéma :

Mais, selon Manzotti, Microsoft Outlook pour Office 365 ne vérifie pas correctement le domaine punycode, permettant à un attaquant d’émuler n’importe quel contact valide dans l’organisation cible.

IDN de phishing : renouveau d’un vieux problème

Le problème des sites Web de phishing basés sur les IDN a attiré l’attention en 2017 lorsque le développeur d’applications Web Xudong Zheng a démontré comment, à l’époque, les navigateurs modernes ne parvenaient pas à faire la différence entre ses apple.com site similaire (IDN) du vrai apple.com.

Zheng était concerné que les attaquants peuvent abuser des IDN à diverses fins néfastes telles que le phishing :

Du point de vue de la sécurité, les domaines Unicode peuvent être problématiques car il est difficile de faire la distinction entre de nombreux caractères Unicode et les caractères ASCII courants. Des domaines tels que « xn--pple-43d.com » peuvent être enregistrés, ce qui équivaut à « apple.com ». Cela n’est peut-être pas évident à première vue, mais « apple.com » utilise le « а » cyrillique (U + 0430) au lieu de l’ASCII « a » (U + 0061). C’est ce qu’on appelle une attaque par homographe.

Mais le problème avec Outlook est que le destinataire peut non seulement faire la distinction entre l’adresse e-mail usurpée et la vraie dans le cas des e-mails de phishing envoyés depuis IDN, mais voir une carte de contact légitime, et donc il est en panne avec l’attaque.

Il n’est pas clair si Microsoft est enclin à résoudre le problème dans Outlook pour le moment :

« Nous avons fini d’examiner votre cas, mais dans ce cas, il a été décidé que nous ne corrigerons pas cette vulnérabilité dans la version actuelle », a déclaré un membre du personnel de Microsoft. DobbyWanKenobi dans un e-mail.

« Bien que l’usurpation d’identité puisse se produire, l’identité de l’expéditeur ne peut pas être fiable sans signature numérique. Les faux positifs et les problèmes sont susceptibles d’entraîner d’autres changements », poursuit l’e-mail qui a vu Ars :

Microsoft n’a pas répondu à la demande d’Ars concernant le trafic précédemment envoyé.

Les chercheurs ont découvert que cette vulnérabilité affectait à la fois les versions 32 bits et 64 bits de la dernière mise en page Microsoft Outlook pour Microsoft 365, bien que le problème ne semble plus reproductible sur la version 16.0.14228.20216 après Manzotti Inform Microsoft.

Assez bien, la réponse de Microsoft à Manzotti a affirmé que la vulnérabilité ne serait pas corrigée. De plus, Manzotti note que ce type d’attaque de phishing sur Outlook Web Access (OWA) ne réussira pas.

Tirer parti des fonctionnalités de sécurité telles que »conducteur externe« Les alertes par e-mail et les signatures d’e-mails sont quelques étapes que les organisations peuvent suivre pour dissuader les attaques d’usurpation d’identité.